Trajnime nga institucionet nderkombetare

Trajnimi “Prezantimi me Auditimin e IT”, në Gjykatën Europiane të Audituesve

Në datat 24-26 Mars 2015, në Gjykatën Europiane të Audituesve (ECA) u zhvillua trajnimi me temë “Prezantim me Auditimin e Teknologjisë së Informacionit”. Pjesëmarrës në këtë trajnim ishin punonjës të niveleve të ndryshme të ECA-s, si auditues, specialistë IT, menaxherë projektesh, etj. Kontrolli i Lartë i Shtetit u përfaqësua nga audituesit Yrjada Jahja, Elisa Metaj dhe Krisi Anastasi. Trajnimi u zhvillua nën udhëheqjen e z. Patrick Shoene, auditues i pavarur dhe i licencuar nga Organizata e Auditimit të Sistemeve të Informacionit dhe Kontrollit (ISACA), e cila është gjithashtu edhe hartuesja e strukturës së auditimit të IT në organizata, COBIT, që është një paketë e praktikave më të mira për teknologjinë e informacionit dhe sigurisë së saj.
Trajnimi, në tre ditët e tij, u përqendrua në detajimin e proceseve të COBIT 4.1, si dhe implementimin e tij në organizata për një infrastrukturë teknologjike, e cila të jetë në përputhje me objektivat e biznesit për organizatat. Gjatë ditës së parë të trajnimit, u listuan objektivat e auditimit të IT, dhe rëndësia e këtij auditimi, i cili mund të zhvillohet i vetëm, ose si pjesë përbërëse e auditimeve financiare dhe të performancës. Rëndësia e auditimit të IT, shtrihet në sfidat dhe objektivat që infrastruktura e IT duhet të arrijë në një organizatë, vazhdimësinë e shërbimeve të IT, shtimin e vlerës nëpërmjet projekteve dhe investimeve në IT, menaxhimin e kostove IT, trajtimin e kompleksiteteve nëpërmjet teknologjisë, përputhshmërinë me objektivat e biznesit, përputhshmërinë me kuadrin ligjor dhe rregullator, si dhe garantimin e sigurisë dhe integritetit të informacionit.
Sipas COBIT, kontrollet mbi sistemet e informacionit ndahen në dy kategori, kontrolle të përgjithshme, të cilat lidhen me menaxhimin e informacionit, sistemeve dhe teknologjisë, dhe kontrolle të aplikacioneve, që lidhen me politikat, procedurat dhe aktivitetet e hartuara dhe të implementuara për të ofruar siguri të arsyeshme se arrihen objektivat e menaxhimit lidhur me një zgjidhje të automatizuar (problem në organizata që zgjidhet me anë të kompjuterizimit).
Praktikat më të mira të auditimit të teknologjisë së informacionit (COBIT), sugjerojnë ndarjen në katër fusha të mëdha të kontrolleve mbi infrastrukturën IT në organizatë. Planifikim dhe organizim, specifikon strategjitë dhe taktikat si dhe trajton sesi IT kontribuon më së miri në arritjen e objektivave të biznesit; Blerja dhe implementimi, specifikon se zgjidhjet IT duhet të identifikohen, zhvillohen ose blihen, si dhe të implementohen dhe integrohen në proceset e biznesit; Shërbimi dhe mbështetja, është faza operacionale sesi arrihet të ofrohet shërbimi i IT dhe mbështetja që jepet nga IT për zgjidhjen e incidenteve dhe problemeve; Monitorimi dhe vlerësimi, specifikon se të gjitha proceset IT duhet të vlerësohen dhe maten, për sigurinë dhe cilësinë e tyre, si dhe për përputhshmërinë me kërkesat e kontrollit.
Gjatë ditës së dytë të trajnimit, u trajtua ndërveprimi i auditimit të IT me llojet e tjera të auditimit. Kështu, zhvillimi i një auditimi të ndërthurur financiar-IT, përfshin disa objektiva: njohja e ndikimit të përgjithshëm të IT në proceset kyçe të biznesit lidhur me përpunimin financiar dhe raportimin; vlerësimi i kontrolleve menaxheriale ndaj proceseve të IT; njohja sesi përdorimi i IT për përpunimin, ruajtjen dhe komunikimit të informacionit ndikon në sistemet e kontrolleve të brendshme, riskun e qenësishëm dhe riskun e kontrollit; vlerësimin e efektivitetit të kontrolleve në proceset e IT të cilat ndikojnë përpunimin e informacionit.

Zhvillimi i një auditimi të ndërthurur performance-IT, synon kontrollin e ushtruar mbi arritjen e efektivitetit, eficencës dhe ekonomicitetit. Për këtë lloj auditimi, u paraqit një shembull konkret “Auditimi i IT në shërbimet publike”, që ishte fokusuar në disa shtylla: Ndërlidhja strategjike; Krijimi i vlerës; Menaxhimi i shërbimeve; Optimizimi i riskut; Përdorimi i burimeve.
Dita e tretë u përqendrua në auditimin e programit kompjuterik qendror të Komisionit Europian, ABAC i cili është sistemi për menaxhimin dhe ruajtjen e llogarive të Bashkimit Europian. Problemet që ishin konstatuar nga audituesit, ishin menaxhimi i aksesit fizik dhe logjik për integritetin e të dhënave dhe llogarive që posedohen në ABAC, menaxhimi i kompleksitetit të këtij sistemi i cili bazohej në 1300 programe të tjerë kompjuterik, dhe ndryshimi më i vogël që mund të ndodhte në një element, p.sh. ndryshimi i emërtimit të një llogarie, sjell probleme në përditësimin e tërësisë së programeve dhe risqeve që mbarten me këto modifikime.
Midis pjesëmarrësve të trajnimit pati shumë diskutime mbi përqasjen që i bëhet këtij lloj auditimit, ku audituesit e KLSH-së, u përqendruan të përthithnin sa më shumë këtë temë, dhe vazhdimisht ta konkretizonin me raste analoge, për të theksuar diferencën në konceptim dhe në implementim të infrastrukturës teknologjike në institucionet europiane dhe ato shqiptare.
Nga ana e audituesve të KLSH-së, u iniciuan disa diskutime me tema kyçe për njohjen më të thellë të auditimit të IT, dhe qasjen e tij në Shqipëri:
Së pari u konstatua se institucionet e BE, por edhe institucionet publike në shtetet respektive të pjesëmarrësve në trajnim (Itali, Rumani, Hungari, Francë, Belgjikë), e mirëpresin një auditim të teknologjisë së informacionit, të bazuar mbi praktikat më të mira të kontrolleve mbi IT. Pra në zhvillimin e një auditimi IT, nuk është e nevojshme baza ligjore dhe rregullatore, por evidentimi i praktikave më të mira, të sugjeruara në COBIT, për arritjen e qëllimeve dhe objektivave të një institucioni referuar IT: ndërlidhja e strategjisë së biznesit me atë të IT, duke ofruar zgjidhje automatike në kohë, në qëllim dhe në buxhet. Në përfundim të auditimeve, subjektet e audituara në shumicën e rasteve pranojnë pa kontestime rekomandimet e dhëna nga audituesit, bazuar mbi praktikat më të mira të pranuara përgjithësisht.
Më tej u trajtua se çfarë eksperiencash dhe edukimi duhet të ketë një audituesi IT dhe specializimet më të mira që ndihmojnë në përsosjen e aftësive dhe njohurive. U konkludua se bazat në shkencat kompjuterike janë të domosdoshme dhe thellimi i njohurive mbi auditimin e IT mund të kryhet nëpërmjet përvetësimit të produkteve të ISACA, si dhe nëpërmjet specializimeve që kjo organizatë ofron.
Në përfundim të trajnimit, audituesit u pajisën me materialet e ofruara nga zhvilluesit e trajnimit, si dhe u takuan me audituesin polak të auditimit Slawomir Kozloweski, i cili shprehu gatishmërinë e tij për të ndihmuar në trajtimin e auditiveve IT në Shqipëri.